Компания "Доктор Веб" - ведущий российский разработчик средств информационной безопасности - предупреждает пользователей о появлении очередной троянской программы для мобильной платформы Android. Android.Ggtrack.1-2 крадет деньги со счетов владельцев смартфонов на базе этой ОС, без ведома подписывая их на различные платные услуги. Android.Ggtrack.1-2 проникает в операционную систему мобильного устройства при посещении пользователем фишингового сайта, маскирующегося под официальный Android Market. Ссылка на эту страницу обычно присутствует в рассылаемой спамерами рекламе, также на нее можно наткнуться при просмотре некоторых веб-страниц в Интернете. Две известные на сегодняшний день модификации троянца встроены в ряд легитимных приложений, таких как программа для управления энергосбережением Battery Saver, гаджет-будильник Alarm Clock или комплект эротических обоев для телелефона под названием Sexy Girls. На официальном Android Market инфицированное ПО в настоящий момент не обнаружено. |
В обмен на отправленное жертвой письмо вымогатели обещают отослать сообщение с реквизитами для проведения платежа. В отличие от окон, демонстрируемых троянцами семейства Trojan.Winlock, данное окно может быть закрыто сочетанием горячих клавиш или с помощью Диспетчера задач. Вредоносный функционал Trojan.CryptLock.1 кроется в другом: троянец шифрует обнаруженные на жестком диске файлы с расширениями AVI, MP3, PNG, PSD, PDF, CDR, JPG, JPEG, RAR, ZIP, DOCX, DOTX, XLSM, XLSX, DOC, XLS, LNK, ISO, DBF, XML, TXT, DBO, DBA, MPG, MPG4, WMA, WMV, GIF, PHP, CGI, HTM, HTML и некоторыми другими. После успешного заражения Trojan.CryptLock.1 создает на диске файл с именем КАК РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ - How to decrypt your files.txt, содержащий дальнейшие инструкции, согласно которым для расшифровки данных злоумышленники требуют заплатить им некоторую сумму. Судя по количеству допущенных в тексте демонстрируемого троянцем сообщения пунктуационных ошибок, а также исходя из того, что Trojan.CryptLock.1 использует достаточно примитивный однобайтный алгоритм шифрования, у <эгруппы инициативных программистов>, стоящих за этой угрозой, как раз в разгаре школьные каникулы, и родители разрешили им немного попользоваться собственным компьютером. В настоящий момент сигнатура Trojan.CryptLock.1 добавлена в вирусные базы Dr.Web, в самое ближайшее время на сайте компании "Доктор Веб" будет размещено средство дешифровки пострадавших от действия троянца файлов. |